Rechte und Rollen

Bei fehlzeitenerfassung.de wird auf unterschiedlichen Ebenen ein striktes Rollen- und Rechtesystem umgesetzt.

Im folgenden erhalten Sie eine Übersicht über den implementierten Zugriffschutz.

information outline

In diesem Kapitel werden die technischen Grundlagen und die genutzen Rollen definiert und erläutert. Wie Sie diese Rollen und Zugriffsrechte in der Praxis verwalten, können Sie unter Administration > Rechte und Rollen lesen.

Personalisierte Anmeldung

Jede*r Nutzer*in, der/die auf Daten bei fehlzeitenerfassung.de zugreifen möchte muss sich mit einem eindeutigen Nutzernamen und seiner E-Mail-Adresse registrieren.

Zu jedem Account können nun auf zwei Ebenen Zugriffsrechte vergeben werden:

  1. Zugriffsrechte auf eine Datenbank
  2. Zugriffsrechte auf Objekte innerhalb einer Datenbank.

Diese beiden unterschiedlichen Rollenebenen sollen kurz erläutert werden:

Datenbank-Rollen

Will eine Institution (wie zum Beispiel eine Schule) Daten auf fehlzeitenerfassung.de erfassen, wird für jede Institution eine eigene Datenbank mit eigenen Zugriffsrechte auf dem Server angelegt. Unabhängig von den Nutzerrollen, die je Datenbank konfiguriert werden können, gibt es grundsätzlich vier Datenbank-Rollen, die ein*e Nutzer*in in Bezug auf eine Datenbank erlangen kann:

Datenbank-Besitzer (DB-Owner) : Jede Datenbank, die unter fehlzeitenerfassung.de erstellt wird, hat genau eine*n Datenbank-Besitzer*in. Diese Person ist der Verantwortliche für die in dieser Datenbank gespeicherten personenbeziehbaren Daten im Sinne von Artikel 4 der DSGVO. Der/die Datenbank-Besitzer*in hat mit eduFlux GmbH einen Auftragsverarbeitungsvertrag geschlossen. Die Rolle des Datenbank-Besitzers/der Datenbank-Besitzerin kann nur von Administrator*innen der fehlzeitenerfassung.de-Server vergeben werden.

Datenbank-Administrator (DB-Admin) : Der/die Datenbank-Administrator*in hat Zugriff auf alle administrativen Funktionen bezüglich einer für Ihn/Sie freigegebenen Datenbank. Dazu gehören: Vergabe von weiteren Nutzerrechten, anlegen und Einladen von neuen Nutzer*innen, lokale Administration der nur lokal gespeicherten Stammdaten. Typischerweise erfordern einige Rechte von Nutzerrollen Administrator-Rechte auf einer Datenbank (s.u.). Automatisch ist jede*r Datenbank-Besitzer*in Datenbank-Administrator*in auf der für ihn frei geschalteten Datenbank. Die Rolle eines Datenbank-Administrators/einer Datenbank-Administratorin kann nur vom Server-Administrator zugewiesen werden.

Datenbank-Editor (DB-Editor) : Nutzer, die eine Editor-Rolle für eine bestimmte Datenbank zugewiesen bekommen, können grundsätzlich Daten in dieser Datenbank verändern. Welche Datensätze genau und wie diese erstellt, geändert und gelöscht werden können, wird durch die in der Datenbank konfigurierte Nutzerrolle festgelegt. Die Rolle des Datenbank-Editors/der Datenbank-Editorin kann durch eine*n Datenbank-Administrator*in vergeben werden.

Nutzerrollen innerhalb einer Datenbank

Grundsätzlich können für jede*n Nutzer*in, der/die mindestens eine Leseberechtigung (DB-Reader) für eine Datenbank hat, für jeden Datentyp Rechte zum Auslesen, Erstellen, Verändern und Löschen vergeben werden. Diese Zugriffsrechte werden basierend auf dem Datentyp (Person, Fehlzeit, Bemerkung, Anschreiben,...) und dem Zugriffsbereich (einzelne SuS/ganze Klassen) vergeben.

Zur Zeit ist eine vereinfachte Konfiguration über das Administratitions-Tool FZGUI für zwei Szenarien implementiert:

  1. offener Zugang
  2. klassenweiser Zugang

Im Folgenden sind die Zugriffsrechte in den beiden Szenarien beschrieben:

Zugriffsrechte: offene Konfiguration

In der offenen Konfiguration gibt es nur einen Zugriffsbereich. Er umfasst alle SuS und Gruppen der Schule.

Auf Ebene der Privatsphäre wird zwischen Stammdaten (Stammdateneinträge zu SuS und Gruppen, Anschreiben ) und Fehlzeiten-Daten (wie Fehlzeiten, Interventionen, Bemerkungen) unterschieden.

Rechte: Nutzerrolle Lehrer

Nutzer*innen dieser Rolle haben Lesezugriff auf Stammdaten und Schreibrechte auf Fehlzeitendaten. Sie können damit:

  • Die Liste der Klassen auslesen
  • pseudonymisierte Schülerdatensätze aller SuS auslesen
  • Fehlzeiten, Interventionen und Bemerkungen für alle SuS der Datenbank erstellen
  • Auswertungen einsehen
  • Datensätze pseudonymisiert herunterladen

Rechte: Nutzerrolle Verwaltung

Nutzer*innen dieser Rolle haben Schreib- und Lesezugriff auf Stammdaten und Fehlzeitendaten. Sie können damit

  • Zugriff auf die lokale Datenbank erlangen
  • Stammdaten synchronisieren und Schülerdatensätze ändern
  • Anschreiben erstellen
  • Anschreiben über die lokale Datenbank ausdrucken
  • Pseudonymisierte Datensätze in der lokalen Datenbank mit Stammdaten zusammenführen

Zugriffsrechte: eingeschränkte Konfiguration

In der eingeschränkten Konfiguration bildet jede Gruppe/Klasse einen Zugriffsbereich. Jedem/jeder einzelnen Nutzer*in kann der Zugriff für einen Zugriffsbereich freigeschaltet oder entzogen werden. Zugriff auf eine Klasse bedeutet automatisch Zugriff auf alle darin enthaltenen SuS.

Auf Ebene der Privatsphäre wird zwischen Stammdaten (Stammdateneinträge zu SuS und Gruppen sowie Anschreiben) und Fehlzeiten-Daten (wie Fehlzeiten, Interventionen, Bemerkungen) unterschieden.

Rechte: Nutzerrolle Lehrer

Nutzer*innen dieser Rolle erhalten Zugriff ausschließlich auf Daten aus Ihrem Zugriffsbereich. Dabei können Sie keine Änderung an Stammdaten vornehmen und Fehlzeiten-Daten beliebig anlegen und ändern.

Damit können diese Nutzer*innen

  • Die Liste der Ihnen zugeteilten Klassen auslesen
  • pseudonymisierte Schülerdatensätze aus für Sie frei gegebenen Klassen einsehen
  • Fehlzeiten, Interventionen und Bemerkungen zu SuS in für Sie frei gegebenen Klassen einsehen und verändern
  • Auswertungen zu SuS in für Sie frei gegebenen Klassen einsehen (die Auswertung betrifft dabei nur Datensätze, die in Gruppen erfasst wurden, zu denen Sie Zugriff haben.)
  • freigegebene Datensätze pseudonymisiert herunterladen

Rechte: Nutzerrolle Verwaltung

Nutzer*innen dieser Rolle haben freie Schreib- und Leserechte auf alle Datensätze, unabhängig vom Zugriffsbereich.

Nutzer*innen dieser Rolle können folglich:

  • Die Liste der Klassen auslesen
  • pseudonymisierte Schülerdatensätze aller SuS auslesen
  • Fehlzeiten, Interventionen und Bemerkungen für alle SuS der Datenbank einsehen und verändern
  • alle Auswertungen einsehen
  • alle Datensätze pseudonymisiert herunterladen
  • Zugriff auf die lokale Datenbank erlangen
  • Stammdaten synchronisieren und Schülerdatensätze ändern
  • Anschreiben erstellen
  • Anschreiben über die lokale Datenbank ausdrucken
  • Pseudonymisierte Datensätze in der lokalen Datenbank mit Stammdaten zusammenführen
  • Nutzer*innen zu fehlzeitenerfassung.de einladen und Datenbankzugriffsrechte (DB Editor) vergeben.
  • Anderen Nutzer*innen Zugriffsrechte auf eine Klasse erteilen
Zurück
Zurück